お知らせ

クライアント証明書(SHA-1)をご利用中のお客様へ(2018年2月1日追記)

2018年02月01日 18:30 お知らせ

※2018年1月11日 12:00追記
当お知らせでご案内差し上げたすべてのプロファイルのSHA256への切り替えにつきまして、日程が2018年1月29日(月)と決定しましたことをお知らせします。

※2018年2月1日 18:30追記
SHA256のクライアント証明書で認証を行うためには、サーバにクライアント証明書(SHA256)用のルート証明書、中間CA証明書を設定いただく必要がございます。
2018年1月29日までの間、SHA-1のクライアント証明書のみを利用されていた場合は、下記よりルート証明書と中間CA証明書をご取得いただき、サーバに追加設定してください。
ルート証明書(R3)
中間CA証明書(SHA256)

また、CRLをご利用のお客様はCDP/CRLも併せて設定していただく必要がございます。CDP(CRL配布ポイント)のURLは下記となります。
http://crl.globalsign.com/gspersonalsign2sha2g3.crl
サーバへの設定方法につきましては以下サポートページをご参照ください。
クライアント証明書FAQ:サーバへの設定について

平素は、グローバルサインをご愛顧いただき誠にありがとうございます。

この度、ハッシュアルゴリズムSHA-1の危殆化を背景に、弊社ではクライアント証明書(SHA-1)のご利用可能期限を変更いたします。
変更実施日および詳細につきましては、以下をご確認ください。

対象サービス

マネージドPKI Lite

変更実施日

2017年9月25日(月)

内容

対象サービスのプロファイルの新規設定において、ハッシュアルゴリズム「SHA-1」を選択することができなくなります。
クライアント証明書(SHA-1)をご利用予定のお客様は、2017年9月24日(日)までに作業をお願いいたします。

※2017年9月24日(日)までにプロファイル設定において「SHA-1」を選択している場合、継続してクライアント証明書(SHA-1)を発行することは可能です。
※マネージドPKI Lite、および電子署名(S/MIME)用証明書のSHA-1での発行につきましては、2018年1月に停止を予定しております。それ以降発行されるクライアント証明書は、すべてハッシュアルゴリズム「SHA256」にて発行されます。2018年1月(予定)以降は、SHA-1を選択している既存のプロファイルはすべてSHA256に切り替えさせていただきますので、ご了承ください。
※SHA-1をご利用中のお客様におかれましては、2017年12月末までに、できる限りプロファイルの設定を「SHA256」へ変更していただきますよう、お願い申し上げます。なお、正式な期日は決定次第、再度ご連絡いたします。

理由および背景

SHA-1からSHA-2への移行は、電子証明書の業界団体であるCA/ブラウザフォーラム、ブラウザのルートプログラム等において、なるべく早急に移行するよう推奨されています。実際に2017年2月24日(日本時間)、Googleにより、SHA-1ハッシュ値の衝突に成功したことの発表がありました。

弊社においては、SSLサーバ証明書ではすでにSHA-1の発行が終了しておりますが、クライアント証明書におきましても、SHA-1の利用を制限することを決定いたしました。

弊社クライアント証明書(SHA-1)をご利用中のお客様へ

SHA-1のみに対応している環境でご利用中の場合は、可能な限りお早めにSHA256に対応している環境への切り替えをご検討くださいますよう、宜しくお願い申し上げます。

対応環境

SHA-1とSHA256では対応環境が異なりますので、ご利用中のシステムがSHA256に対応しているかどうかをご確認ください。詳細は以下のページをご覧ください。
SHA256の対応環境について

よくある質問

Q. SHA-1 ・SHA-2とは何ですか?
SHA-1・SHA-2とは、ハッシュを生成するためのアルゴリズムの一つです。
ハッシュ関数とは、元データから別の固定長のデータ(ハッシュ値)を生成する関数であり、生成されたハッシュ値を比較することでデータの改ざんを確認することができます。
SHA-1とSHA-2でハッシュ値の長さが異なり、SHA-1は160ビット、SHA-2は224ビット・256ビット・384ビット・512ビットがございます。弊社ではSHA-2の256ビット(SHA256)を採用しております。
Q. SHA-1証明書を使い続けるリスクはありますか?
ハッシュ関数による改ざん検知は、異なるデータから生成されるハッシュ値が異なることが前提に成り立っています。
コンピュータの計算能力の向上により、SHA-1の安全性が危ぶまれるようになったため、より安全性の高いSHA-2の利用が推奨されます。
Q. 現在利用している証明書の設定が、SHA-1 なのか、SHA256なのか分かりません。
ご利用中のマネージドPKIプロファイル設定画面より、ご確認いただけます。
プロファイル設定について(オプションの有効化)
Q. 社内のシステムでSHA256クライアント証明書を使用できるのかテストすることは可能ですか?
ご利用中のマネージドPKIプロファイル設定画面にてハッシュアルゴリズム「SHA256」に設定してクライアント証明書を発行し、キャンセル可能期間である7日間でテストする事が可能です。
サーバへの設定変更も必要となりますので、下記マニュアルを参考にご対応ください。
クライアント証明書FAQ:サーバへの設定について
Q. 利用中のクライアント証明書には影響ありますか?
影響はございませんが、2018年1月(予定)以降にクライアント証明書を発行する際、ハッシュアルゴリズムはすべて「SHA256」となります。

ご利用のお客様にはお手数をおかけいたしますが、ご理解ご協力のほどを宜しくお願い申し上げます。

お問い合わせ

ご質問や不明な点などございましたら、下記よりお問い合わせください。